#CodingSerbia: Očekivanja - ispunjena

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Coding Serbia conference visitors - developers

8. i 9. oktobra je po treći put održana konferencija Coding Serbia. Ukoliko ste čitali prethodni tekst, znate da su mi očekivanja bila prilično velika. Sada, kada su se utisci slegli i nakon vremena koje sam imao da još malo promislim o temama, drago mi je da mogu reći kako su moja očekivanja ispunjena.

Da bih što bolje opisao dva vrlo dinamična dana KakoKakou Novom Sadu (36 predavača, 3 "koloseka", prateći sadržaji) celokupan program sam podelio u nekoliko celina.

Agile & #NoEstimates

Već od uvodgnog izlaganja, koje je održao Pieter Hintjens, bilo je jasno da će ovogodišnja konferencija značajan deo programa posvetiti organizaciji rada, procesa, internom duhu i kulturi organizacija... Jedna od osnovnih poruka koje su se mogle čuti tokom konferencije jeste ta da se "fizika" softvera zasniva na "fizici" ljudi i da kod nekog proizvoda često dosta govori o unutrašnjoj strukturi i kulturi organizacije.

U ovom segmentu je posebno zapaženo predavanje imao Vasco Duarte koji je prestavio #NoEstimates koncept koji postavlja neka vrlo važna pitanja i uvodi bitne promene u trenutne Agile metode. Jedno od tih pitanja je: Da li je mogućnost konstantnog objavljivanja novih verzija softvera od našeg tima načinila "robove backloga" ili se i dalje ozbiljno razmišlja o vrednosti koja se isporučuje klijentu? Umesto suve teorije, imali smo priliku da čujemo konkretne primere iz prakse, pa oduševljenje njegovim izlaganjem nije iznenađujuće.

Vasco Duarte - No Estimates

Da cela priča bude zaokružena, potrudili su se drugog dana Gojko Adžić i Mike Pearce. Gojko Adžić je pre svega ukazivao na ljudsku prirodu naših klijenata i ukazao da posedovanje mogućnosti da nešto odmah isporučimo ne znači da to treba i da uradimo, a da prethodno ne razmislimo o tome šta naši klijenti i korisnici rade u tom trenutku i da li naš proces ometa njihove. Mike Pearce je kroz priču o svom radu u Moo kompaniji pokazao kako su rešili neke izazove i uspeli da sačuvaju duh jednog startupa u organizaciji koja sada zapošljava veliki broj ljudi, svakojakih profila, na više fizičkih lokacija - a uz sve to i nastavili da napreduju na poslovnom planu i klijentima isporučuju nove proizvode.

Development & code

Deo koji je programere verovatno najviše interesovao bio je (očekivano) obilovao slajdovima sa kodovima, programiranjem uživo, demonstrcijama i nametanjem tema o kojima svakako treba razmišljati u narednom periodu. Ovo su samo neka koja su na mene ostavila utisak:

Alvaro Videla - Programming mythsAlvaro Videla je svoje vreme na sceni iskoristio da istakne neke od programerskih mitova i mnoge "predrasude" stavi na test. Prezentaciju je bazirao na "Papers We Love" radu koji ruši mitove posmatrajući ih sa vremenske distance ali i analizirajući kontekst u kojem su ti mitovi nastali. 

Simon Tennant je ispričao priču o BuddyCloud aplikaciji. Iako sam, na osnovu naslova predavanja, očekivao da čujem malo više o tome kako su za 10 dana došli do brojke od 500 hiljada korisnika, Simon je ipak skoro celo predavanje posvetio tehničkim detaljima, kodu, infrastrukturi i opisu funkcionisanja cele BuddyCloud mreže. I to nije umanjilo zabavu, pogotovu ako se zna da je izvorni kod na kome je baziran BuddyCloud otvoren i svima dostupan. Sada svako može da ima sopstvenu social/messaging aplikaciju. 

Jose Pereda za svoje predavanje o JavaFX portovima za razvoj mobilnih aplikacija kao primer odabrao dobro poznatu igru 2048. Umesto suvoparne priče, dobili smo prikaz portova kroz primere koji omogućavaju lako portovanje jedne JavaFX aplikacije na mobilne platforme (iOS, Android) bez previše truda. Kako bi pokazao da su performanse takve aplikacije na odličnom nivou, Jose je na nekoliko slajdova imao prikaz live partije 2048FX igrice. Da stvar bude još bolja, kod igrice 2048FX je otvoren i svima dostupan, što je lep poklon za one koji žele dodatno da zavire u mehaniku igre i organizaciju koda.

Internet of Things

Koliko će "Internet of Things" polje biti zanimljivo u narednom periodu govori podatak da će do 2020. godine broj IoT developera porasti 5 puta (trenutno ~ 850 hiljada, do 2020. godine ~ 4,5 miliona), a da će IoT tržište u narednih 10 godina imati vrednost 10ak TRILIONA dolara. Iakvo sam na ovogodišnjoj konferenciji očekivao samo jedno predavanje koje se bavi IoT, na kraju sam imao priliku da čujem 3 od ukupno 4 izlaganja koja su bila posvećena tome.

Ville Ingman - Internet of Things

Internet of Things je vrlo konkretna i opipljiva stvar. Bez obzira da li se radi o senzoru, mini-računaru ili nekom drugom obličju, IoT se bukvalno može osetiti pod prstima, kod može svetlucati, pokretati stvari, meriti parametre... A može i da leti! Ville Ingman je to i pokazao donevši Parrot drona u salu koji je bio povezan na Bluemix cloud i Vaadin aplikaciju za vizuelni prikaz parametara leta. U realnom vremenu, bilo je moguće videti parametre kao što su visina na kojoj dron leti, njegov položaj i nivo energije u bateriji... Da komunikacija bude dvosmerna postarala se web aplikacija koja je unos Twitter korisničkog imena pretvarala u blinkanje diode na dronu i tweet sa dronovog Twitter naloga

Holly Cummins je donela svoju "igračku". U mekanu loptu je zapakovala svoj uređaj koji je takođe preko Bluemixa bio povezan sa web stranicom i trebao da meri određene parametre. Iako uređaj nije radio po planu, prezentaciju smatram vrlo realnim prikazom koliko "igranje" IoT uređajima može biti zabavno. Odavno gajim ljubav prema automatici, ali ovo - ovo je potpuno novi nivo.

Organizacija

Oko organizacije ne bih trošio previše reči. Mislim da treba jasno i direktno reći da je sve teklo bez ikakvih začkoljica i komplikacija. Ako ih je i bilo ranijih godina, ove godine nisam primetio "dečije bolesti" od koji pate druge konferencije. Program je skoro u minut bio precizan, predavači su poštovali vreme koje im je dato, a samim tim i vreme drugih predavača ali i posetilaca. Internet je služio dobro (a za jednu developersku konferenciju, to je prilično bitna stavka), neformalni sadržaji su bili na jednakom nivou kvaliteta kao i oni formalni.

Coding Serbia staff team

I ovi hvalospevi mogu da traju i dalje, ali jasno vam je. Nije postojala ni jedna stvar koja bi narušila fantastičnu energiju i entuzijazam koji su posetiocima upumpavani tokom ta dva dana. Malo je reći da sam presrećan što sam imao priliku da budem u ulozi zvaničnog blogera, a samim tim i deo fantastične blogerske ekipe. Njihove blog postove ću linkovati na kraju, kako budu pristizali.

Zaključak

Nakon konferencije, ostalo je nekoliko stvari koje treba sačekati. Treba sačekati da sva predavanja budu objavljena na Coding Serbia Youtube kanalu kako bih mogao da pogledam i ona koja nisam mogao uživo. A zatim, sačekati i datum sledeće Coding Serbia konferencije kako bih na vreme osigurao svoje mesto u publici.

Coding Serbia party Slavko Ilic - Coding Serbia 2015 Official Blogger

Mišljenja (0) 17.10.2015. 12:41

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

#CodingSerbia konferencija: Očekivanja

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Coding Serbia conferenceSigurno znate da je razvoj ICT sektora u Srbiji jedna od lepših priča. Uprkos preprekama na koje poslovanje u Srbiji često nailazi, ICT firme nalaze način da konstantno napreduju, rastu i drže korak sa svetom - održavajući visok nivo kvaliteta usluga i proizvoda. Konferencije koje okupljaju ljude iz ICT-a su takođe lep prizor, uvek prilika da se vidi ono najbolje što imamo da ponudimo. Konferencija CodingSerbia je po mom mišljenju na samom vrhu.

Ove godine, 8. i 9. oktobra se CodingSerbia održava po treći put, već u najavi nudeći najbolji program do sad. IT kutak će, kao jedan od zvaničnih blogova ovogodišnje konferencije, pratiti ovo dešavanje pa sam želeo da sumiram neka svoja očekivanja.

#CodingSerbia: About

Konferencija CodingSerbia je prvi put održana 2013. godine i već tada se svojim programom izdvojila od ostalih. Pod sloganom "For developers by developers", tokom dva dana je na meniju čitav spektar tema koji se tiču ICT trendova, obrađene kroz slučajeve iz prakse. Teme su podeljene u nekoliko kategorija: Java, Big Data, agilne metode, testiranje, arhitektura softvera, razvoj mobilnih aplikacija...

Kao što sam rekao, ovo je dvodnevno dešavanje a program se realizuje paralelno na dve "staze". Za developere ovo ne bi trebao da bude problem jer će se verovatno fokusirati na teme koje su usko vezane za oblasti kojima se bave. Sa druge strane, za blogere i ostale učesnike koji žele da sklope "širu sliku", kreiranje rasporeda predavanja biće pravi izazov. Za ovu priliku, izdvojio sam nekoliko predavanja da dočaram koliko će zanimljivo ovo dešavanje biti.

Predavanja i teme

Mike Pearce - Coding Serbia conferenceMike Pearce dolazi iz Moo kompanije koja je postala prepoznatljiva po lepo dizajniranim, inovativnim i pre svega zanimljivim proizvodima koji njihovim klijenitma pomažu da se prikažu najboljem svetlu. Mike je u svojoj karijeri prešao put od developera, preko SCRUM mastera do osobe koja je zadužena za unapređenje kulture kompanije i međuljudskih komunikacija. Njegovo predavanje će pružiti uvid u to kako jedna kompanija može ostati "sveža", fleksibilna i zadržati startup duh iako ima više od 200 zaposlenih. Svakako predavanje koje treba ispratiti.

Dragana Đermanović - Coding Serbia ConferenceDragana Đermanović je osoba koju nema potrebe posebno predstavljati na ovim prostorima. Njena reputacija je takva da njena izlaganja jednostavno ne propuštate. Ove godine, njoj je pripala čast da održi završno izlaganje što sve čini još boljim. Dragana godinama unazad stiče iskustvo kako na domaćem tako i na globalnom terenu. Ono što ju je uvek činilo posebnom je energija koju ulaže u ono što voli i nesebičnost da stečeno iskustvo i znanje podeli sa drugima. Ovo završno izlaganje će definitivno biti šlag na torti CodingSerbia konferencije.

Bouke van der Bijl - Coding Serbia ConferenceBouke van der Bijl dolazi iz Shopify kompanije gde kao developer radi u jednom od Analytics timova i razvija rešenja koja klijentima nude bolji uvid u njihove statistike. Njegovo predavanje će biti o Go programskom jeziku, što ga razlikuje od većine drugih predavanja koja se oslanjaju na Javu ili bar DotNet. Takođe, Go jezik se izdvojio po odličnim performansama pa će biti dobro čuti neke konkretnije slučajeve, pogotovu ako se oni tiču velikih sistema što Shopify sigurno jeste.

Gojko Adžić - Coding Serbia ConferenceGojko Adžić je strategic software delivery konsultant i nalazi se na samom vrhu lestvice kada je reč o kvalitetu softvera. Njegovo izlaganje predstavlja pravu šansu da developeri shvate značaj pravilnog testiranja softvera, a testeri steknu mali uvid u dobre primere iz prakse. Gojko je autor više radova i knjiga koje uz testiranje vezuju pojmove agile i lean, pa će biti zanimljivo videti kakve će reakcije izazvati ovo predavanje. Ukoliko vam je stalo do kvaliteta softvera, želite da budete u publici kada je Gojko Adžić na sceni.

Benjamin Cabe - Coding Serbia ConferenceBenjamin Cabe je entuzijasta kada je reč o svemu što je povezano sa Internet of Things. Koosnivač je Eclipse IoT radne grupe i svoje predavanje će fokusirati na End-to-End Java i Eclipse IoT rešenja. Internet of Things segment će svakako samo dobijati na značaju, pa će biti zanimljivo već sada videti neke konkretne primere, izbor platforme, performanse i slično... Naravno, Java i ovde "uskače" prva, ali bih voleo da se postavi pitanje prostora za druge jezike u IoT, npr. Scala ili ranije pomenuti Go.

I da budem fer prema ostalima, ovo su izlaganja koja su meni privukla pažnju na prvi pogled. Među ostalih 31 (da, ukupno ima 36 govornika) se može naći još mnogo toga zanimljivog. Iako su predavanja podeljena po kategorijama, jasno je da svako od njih predstavlja delić jedne zanimljive celine koju će CodingSerbia ove godine prikazati. Ako govorimo o IoT - ne možemo zanemariti Big Data, ako govorimo o kvalitetu softvera - ne možemo preskočiti bavljenje internim procesima... Jedva čekam da vidim šta ćemo i kako razvijati u narednom periodu.

Mišljenja (0) 06.09.2015. 21:03

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Slush Global Impact Accelerator u Beogradu

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Fond za inovacionu delatnost organizuje lokalni Slush događaj – "Slush Global Impact Accelerator" u Beogradu, 27. avgusta 2015. godine, u prostorijama Fonda, Naučno Tehnološki park „Zvezdara“, sa početkom u 10 časova. Ovo je prilika za srpske start-up kompanije da predstave svoje ideje u oblasti društvenih inovacija i direktno se kvalifikuju za Slush i IMPACT Akcelerator.

Slush Global Impact Accelerator Belgrade

 

Šta je Slush?

Slush je dvodnevna konferencija namenjena start-up kompanijama, jedna od najvećih takve vrste u Evropi i odlična prilika da se ideje start-up kompanija predstave potencijalnim inevstitorima i medijima širom sveta. Prošle godine Slush konferenciju za dva dana posetilo je 14 000 posetilaca iz 80 zemalja, 1400 start-up kompanija, 750 investitora i 690 novinara. Tokom konferencije održano je preko 3 700 sastanaka između start-up kompanija i investitora.

Šta je IMPACT Akcelerator?

Ministarstvo spoljnih poslova Finske zajedno sa UNICEF-om i drugim partnerima, uključujući i Fond za inovacionu delatnost u Srbiji organizuje takmičenje za ulazak u IMPACT Akcelerator koji će pomoći osnivačima start-up kompanija da unaprede svoje poslovne ideje kroz relevatne radionice, mrežu kontakata, upoznavanje investitora i potencijalnih partnera, kao i kroz predstavljanje na Slush konferenciji. Ovaj program obuhvata rad sa mentorima pre Konferencije, lokalni pripremni program (boot camp) u Helsinkiju od 4. do 13. novembra 2015. godine, kao i podršku nakon događaja.

Šta dobijaju učesnici IMPACT Akceleratora?

Helsinški lokalni pripremni program (boot camp) od 4. do 13. novembra, 2015:

  • Avio karte i smeštaj za vreme trajanja programa  
  • Ulaznicu za Slush konferenciju  
  • Priliku da učestvuju na Slush-u u okviru Slush Impact Akceleratora  
  • Priliku da učestvuju na UNICEF samitu inovacija  
  • Priliku za networking i sastanke sa relevantnim investitorima, nevladinim organizacijama, institucijama, start-up-ovima, medijima i drugim zainteresovanim stranama  
  • Priliku da učestvuju na radionicama i jačaju svoje kapacitete
  • Priliku da učestvuju na sesijama u okviru svoje industrije

 Slush 2014 stats

*tekst preuzet sa sajta Projekat.info

Mišljenja (0) 24.08.2015. 19:21

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Intesa mobilno bankarstvo: Cimni me da pronađem novčanik

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Kada sam pre 5 godina imao priliku da testiram novi nivo zaštite On-line plaćanja koji je uvela Banca Intesa, moja pretpostavka je bila da kod prosečnog korisnika novih tehnologija dominira strah od nepoznatog. Da budem precizniji, korisnici se najčešće boje da će korišćenjem novih mogućnosti "nešto zeznuti" i imaju predrasudu da je to "prekomplikovano za njih".

Za ovih 5 godina se dosta toga promenilo. Te 2010. godine je elektronska trgovina u Srbiji bila u začetku, a tek 2011. godine je prvi put zakonom uvrštena u strukturu trgovina. Većina tadašnjih rešenja je patila od "dečijih bolesti" ali se i pored malog tržišta držala u igri i pratila trendove. Ali, to je bilo pre 5 godina. Današnja situacija je prilično drugačija. I nije. Istovremeno.

Mobilni telefon kao novčanik

Rast online tržišta i razvoj novih tehnologija

Pre 5 godina, svega 6,1% stanovništva je redovno koristilo prednosti On-Line naručivanja (ne nužno i plaćanja). Anketa MasterCard kompanije pokazuje da je 2014. godine čak 34% korisnika kartica iskoristilo mogućnost plaćanja putem Interneta. Ti se rezultati u velikoj meri poklapaju i sa podacima Republičkog zavoda za statistiku koji kažu da je u 2014. godini preko milion građana plaćalo robu i usluge preko Interneta. Na drugom mestu, odmah nakon kupovine odeće i obuće (~45%), nalazi se plaćanje računa (~35%). Na osnovu ovog značajnog rasta u proteklih 5 godina mogli bismo da zaključimo da onog straha od nepoznatog više nema? Ne baš.

Pored rasta i razvoja tržišta, treba uzeti u obzir da se i tehnološki pejzaž tokom ovih godina u dobroj meri promenio. Na primer, udeo "pametnih" telefona u odnosu na ostale se sa 15% (2011) popeo na 35% (2014). Na isti način kao što je Facebook doprineo popularizaciji "desktop" online komunikacije kod najšire publike (ovde ne mislim samo na mlađe generacije kojima je to došlo "prirodno"), tako su i za omasovljenje "mobilne" online komunikacije zaslužne aplikacije poput WhatsAppa i Vibera. Sve ovo je (bar posredno) imalo efekta za stvaranje "kritične mase" online kupaca i online prodavaca.

Mobilno bankarstvo više nije budućnost

Nakon svih najava da će jednog dana mobilni telefon biti više od uređaja za komunikaciju - tu smo. Mobilni uređaji sve češće preuzimaju ulogu primarnog uređaja za komunikaciju pa i obavljanje dobrog dela poslova. Možda (još uvek) ne možete da programirate ili dizajnirate na telefonu kao na desktop/notebook računaru, ali se kod poslova koji zahtevaju mobilnost, fleksibilnost, koordinaciju i konstantnu povezanost - mobilni telefoni i tablet uređaji izdvajaju kao prvi izbor.

Stanje računa - mobilno bankarstvo

Banca Intesa je brva banka u Srbiji koja je uvela uslugu mobilnog bankarstva (2010. godine), tj. prva je prepoznala priliku u činjenici da je računar posedovalo oko 40% stanovništva a skoro svaki građanin je posedovao mobilni telefon. 5 godina kasnije, Intesa je svoj servis mobilnog bankarstva dodatno unapredila i prilagodila današnjim trendovima. Ako novu verziju aplikacije vidimo kao neku vrstu najave, može se reći da nas čeka zanimljiv period u mobile payment domenu. O čemu se tačno radi?

Intesa Mobi funkcionalnosti

Intesa Mobi aplikacija je dostupna za Android i iOS uređaje. Aplikacija korisnicima nudi praktično sve mogućnosti koje korisnik ima i u ekspoziturama banke: provera stanja, plaćanje računa, prenos sredstava na druge račune, pregled kartica, obavljanje menjačkih poslova... Ukratko, aplikacija za mobilno bankarstvo korisniku sve ono što mu je potrebno - bez odlaska u banku, bez gužve, nema čekanja u redovima, bez "uklapanja" u radno vreme banke... Sve je dostupno 24h dnevno, 7 dana u nedelji, na dohvat ruke - na uređaju koji je dobro poznat korisniku.

Da biste koristili ove mogućnosti potrebno je da instalirate mobilnu aplikaciju "Intesa Mobi" i da se u bilo kojoj ekspozituri banke prijavite za korišćenje mobile banking usluge. Ovom prilikom želim da izdvojim 4 funkcionalnosti koje mogu dosta da znače korisnicima, posebno onim koji se još uvek boje da će nešto "zeznuti":

Mobilno bankarstvo - lokacije bankomata1) DEMO aplikacija - Iako je za korišćenje bitnijih servisa potrebna registracija, svaki korisnik i bez toga može da instalira aplikaciju "Intesa Mobi". Aplikacija sadrži DEMO sekciju koja u potpunosti izgleda kao prava aplikacija - samo podaci nisu pravi i za korišćenje registracija nije potrebna. Korisnik nema mogućnost da nešto "zezne" i ima priliku da bez ograničenja istražuje aplikaciju kako bi se u potpunosti upoznao sa njom. Smatram da je ovakav pristup edukaciji korisnika vrlo bitan i detaljno i ilustrovano uputstvo samo ide u pilog tome. Korisnicima pored informacije o postojanju m-banking aplikacije treba pokazati i da je laka za korišćenje.

2) Lokacije ekspozitura i bankomata - Ja većinu plaćanja i transakcija obavljam putem Online/Mobile banking servisa. Međutim, povremeno mi zatreba keš ili ekspozitura radi uplate. Jedna od korisnijih funkcionalnosti aplikacije je prikaz najbližih filijala i bankomata. Uz pomoć geolokacijskih servisa, aplikacija prikazuje vašu tačku na mapi i sve bankomate i filijale u vašoj blizini. Nema lutanja, a banka je preuzela odgovornost da lokacije budu ažurne.

3) Kontakt stranica - Svakome povremeno treba odgovor na neka pitanja i nadam se dosta ređe potreba da korisnik prijavi izgubljenu/ukradenu karticu. Intesa Mobi aplikacija nudi jednostavnu, jasnu i preglednu stranicu sa kontakt podacima banke. Na klik korisnika, aplikacija automatski poziva banku (ukoliko je kliknuo na broj telefona) ili otvara neku od odgovarajućih aplikacija (mail, FB, Twitter). Ovaj deo se može protumačiti kao želja banke da zaista bude dostupna klijentu i maksimalno mu olakša da stupi u kontakt onda kada mu je to potrebno.

4) mToken - Ukratko, priča o mTokenu je priča o zaštiti. Ovaj deo aplikacije se stara da sva komunikacija između Intesa Mobi aplikacije i banke bude zaštićena. Takođe, mToken se brine da proveri svaku vašu transakciju i osigura da ste je zaista želeli. Dodatno, mToken je tu da proveri vaš identitet i spreči da se aplikacija "klonira" sa jednog telefona na drugi uređaj. Uz sve to, mToken je i klasičan Intesa On-line banking podigao na novi nivo eliminišući potrebu za CD-om i tehnologijama koje su korisnicima često komplikovale korišćenje i ograničavale ih na određene platforme. Uz mToken, sada je izbor platforme za pristup Intesa On-line bankingu na korisnicima.

Mobilni telefon kao platna kartica

Za kraj ono najzanimljivije. Sledeći logičan korak je korišćenje mobilnog telefona kao sredstvo plaćanja. I pri tome ne mislim na zamenu vašeg mobilnog za robu ili usluge već na pravo korišćenje mobilnog telefona kao platne kartice. To jedva čekam da vidim u praksi a sva je prilika da nećemo dugo čekati.

Tehnologija se zove HCE (Host Card Emulation) a usluga Wave2Pay i trenutno je u pilot fazi u Srbiji. Intesa je najavila da će prva omogućiti korišćenje ove usluge svojim klijentima - u toku 2016. godine. Infrastrukturu koju je Visa razvila globalno svakako daje dobru startnu poziciju ovoj usluzi, a to što će u doglednom roku biti dostupna i u Srbiji me zaista raduje. 5 godina nakon početka, ne samo da smo u toku sa trendovima, u nekim aspektima smo korak ispred.

*vreme utrošeno na pisanje i objavu teksta je sponzorisano. Sadržaj, podaci i stavovi nisu sugerisani ni uređivani u skladu sa željama sponzora. Autor teksta stoji iza svakog napisanog reda. 

Mišljenja (6) 24.07.2015. 11:04

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

Analiza: Kako je hakovan sajt Teleprompter.rs?

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

U petak (17.4.2015) nas je sačekala vest da je sajt Teleprompter.rs oboren. Imajući u vidu sve češće napade na ovaj, ali i druge, po mom mišljenju mnogo relevantnije sajtove - to i nije neka vest. Međutim, ono što je "podiglo obrve" svima koji su iole upućeni u oblast bezbednosti informacija jeste činjenica da je pored obaranja sajta - obrisano sve što je bilo povezano sa tim sajtom. Podaci, mail adrese, nalozi i stranice na društvenim mrežama. Sve. Dok se drugi bave pitanjem "Zašto?", meni puls ubrza kad razmislim na temu "Kako?"

Teleprompter.rs hakovan, sve je obrisano sa servera, obrisani mailovi

Uvek prva pretpostavka - ljudski faktor

Na ovom blogu ste u više navrata mogli da pročitate da je čovek često najslabija karika u lancu sigurnosnih faktora i da se oblast bezbednosti informacija u tome ne razlikuje od drugih oblasti. Na ovoj činjenici se bazira i čitava "nauka" pod imenom Social Engineering čiji je cilj da, uz korišćenje tehnika obmane i ljudskih "slabosti", dođe do privilegovanih podataka, položaja, ili neke druge koristi. Šta to u slučaju Teleprompter.rs može da znači?

Kada čujem da je nekome "OBRISANO SVE" to obično znači jednu od dve stvari:

1) SVE je bilo registrovano na jednu centralnu mail adresu koja nije bila adekvatno obezbeđena pa je u tom slučaju potrebno doći samo do šifre te mail adrese a onda (najčešće) kroz proces resetovanja šifre doći do pristupa i ostalim mail adresama, nalozima, stranicama.

2) SVE je bilo registrovano na niz različitih mail adresa, ali je za sve naloge, stranice, adrese korišćena JEDNA ŠIFRA ili neke jednostavne (lako predvidive) varijacije iste šifre. Pitanje za vas: Koliko različitih šifri imate? Da li vam je ista šifra za mail i Facebook? Da li vaše šifre sadrže imena ili datume koji su vam bitni?

Ukratko, najsigurnija brava na svetu je apsolutno beskorisna ako ključ ostavljate ispod otirača. I kao što možete sami zaključiti, u jednom takvom hakovanju skoro da nema ničeg spektakularnog. Ako zanemarimo onaj deo da ipak treba doći do te jedne šifre koja je potrebna da se ceo lanac sigurnosnih zaštita raspadne. Međutim, jedna stvar je bila dovoljna da odbacim prethodne dve tačke.

Gmail 2-factor autentifikacija

2-factor autentifikacija

U tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje" koji potpisuje glavni i odgovorni urednik sajta Teleprompter.rs se sa malo više detalja opisuje način registrovanja i zaštite naloga. Ono što je interesantno za ovu priču, nalozi su bili registrovani na više mail adresa, dakle to isključuje tačku 1. Šifre na tim nalozima su se razlikovale. I najinteresantniji detalj - korišćena je 2-factor autentifikacija. Šta to znači?

Većina korisnika za logovanje na sajtove, mail adrese i društvene mreže još uvek koristi samo username/password kombinaciju. Primer:

  • 1) korisnici Gmaila unose samo korisničko ime i šifru za logovanje.
  • 2) nakon potvrde da su uneti podaci ispravni, korisnik dobija pristup svom mailu

2-factor autentifikacija uvodi još jedan uslov koji je potrebno ispuniti za logovanje. Kod pomenutog Gmaila (ali i većine drugih servisa) to sad izgleda ovako:

  • 1) korisnik unosi korisničko ime i šifru,
  • 2) nakon potvrde da su uneti podaci ispravni Gmail šalje nasumično generisan i vremenski ograničen kod putem SMS-a ili telefonskog poziva
  • 3) korisnik unosi kod iz SMS-a ili telefonskog poziva u polje koje se prikazalo na sajtu
  • 4) nakon potvrde da je i ovaj  podatak ispravan korisnik dobija pristup svom mail nalogu.

Dakle, nije dovoljno samo uneti dobar kod, već uneti ga na vreme. Najčešće su vremenska ograničenja kodova 10 ili 15 minuta, ali ima i onih koji su validni 24h (zavisi od servisa). Jednom iskorišćen kod više nije validan. U svetlu ovih informacija, da se vratimo na pitanje šta to u slučaju Teleprompter.rs može da znači?

Da bi se uspešno preuzeo nalog koji je zaštićen 2-factor autentifikacijom, napadač bi najpre morao da na neki od načina pribavi korisničko ime i šifru tog naloga. Međutim, kako mu to nije dovoljno za logovanje, napadač bi najpre morao da sazna broj telefona koji je vezan za taj nalog, a zatim "presretne" SMS poruku ili poziv u kojem se nalazi kod. Međutim, najsofisticiraniji deo ovog napada se odnosi na "hakovanje" telefona. Zašto?

 Man in the middle attack scheme

Ko je čovek u sredini?

Da bi se presrela komunikacija između vašeg telefona i bazne stanice mobilne telefonije, najčešće se koristi "man in the middle" ("čovek u sredini", "posrednik") tehnika. Za ovu tehniku potreban vam je uređaj kojeg bazna stanica mobilne telefonije "vidi" kao vaš mobilni telefon. A sa druge strane, vaš mobilni telefon taj uređaj vidi kao baznu stanicu mobilne telefonije. Na ovaj način, uređaj se postavlja između vas i bazne stanice pa na taj način hvata sve što vi šaljete baznoj stanici i sve što bazna stanica šalje vama.

Taj uređaj se može podesiti tako da samo prosleđuje komunikaciju pa vlasnik mobilnog nije ni svestan presretanja, ali se može i podesiti tako da određene pozive i poruke prosleđuje na potpuno drugi uređaj, npr. laptop ili drugi mobilni telefon. Međutim, za ovako ciljano presretanje, priča je mnogo komplikovanija za sprovođenje u praksi. Zašto?

Oprema

Pre svega, oprema za jedan ovakav poduhvat je lako dostupna, legalna ali nije jeftina, tj. u opremu će uložiti samo oni koji se bave oblastima u kojima se ona koristi. U praksi se najčešće koristi slobodan OpenBTS softver na nekoj od hardverskih SDR rešenja (Software defined radio). Gotova rešenja prelaze cifru od 2500€, ne računajući dodatne komponente (laptop, antene, druga softverska rešenja,...). Na Internetu se mogu naći i šeme za samostalno sklapanje ovakvih uređaja, što bi u našem slučaju dodatno svedočilo o rešenosti ali i stručnosti napadača (tj. elektronika, pravljenje i povezivanje integrisanih ploča nije hobi za koji se odlučuje veliki broj ljudi).

Način funkcionisanja mobilnog telefona

Počevši od uključivanja telefona, bez obzira da li je u njemu SIM kartica ili ne, on komunicira sa okolnim baznim stanicama. Odluku na koju će se stanicu povezati, vaš mobilni telefon donosi na osnovu jačine signala i vlasnika bazne stanice, tj. ako ste Telenor korisnik - neće se povezati na baznu stanicu drugog operatera. Ali to nije sve.

Zamislite da ste u autobusu koji se kreće autoputem i neprestano razgovarate telefonom. U toku razgovora, vaš telefon se sa jedne bazne stanice povezuje na drugu i tako redom, jer jedna bazna stanica pokriva nekih 10km (ovo varira u zavisnosti od tipa stanice, terena kojeg pokriva, prepreka, materijala...).

Kako vam razgovor ne bi "pucao" kad god se telefon poveže sa jedne stanice na drugu, vaš telefon konstantno ima listu od bar 3 bazne stanice kojima je okružen. Kada primeti da signal sa jedne stanice slabi a sa druge jača, telefon pripremi konekciju za povezivanje na tu stanicu (tzv. Handover). Šta nam sve to govori?

Ko je čovek pred prozorom?

Kako bi se vaš mobilni telefon povezao na napadačev uređaj, potrebno je da "pomisli" da je taj uređaj zapravo legitimna bazna stanica. Da bi se to desilo:

  • 1) Napadačev uređaj mora da preuzme identitet (identifikacione kodove) neke od stanica koje se nalaze u okolini vašeg mobilnog telefona (setite se, mobilni telefon ima listu)
  • 2) Zatim, signal sa napadačevog uređaja mora da bude jači od signala legitimne bazne stanice. Da bi se to desilo, napadač mora da vam bude prilično blizu ili da ima ogromnu antenu. Ogromne antene su pre svega vrlo uočljive a u ovom slučaju zahtevaju i prilično jako napajanje pa je izbor napadača u praksi najčešće - fizička blizina vašem telefonu.

Međutim, da bi napadačev uređaj bio predstavljen baznoj stanici kao vaš telefon, uređaj mora da preuzme identitet vašeg telefona. To je lakše reći nego uraditi. Pomenuo sam da vaš telefon konstantno komunicira sa baznom stanicom. Deo komunikacije je provera identiteta, tj. bazna stanica postavi pitanje telefonu na koje samo telefon može da zna odgovor. Da stvar bude komplikovanija - ta komunikacija je kriptovana (zaštićena). Šta se desi kada bazna stanica postavi pitanje telefonu a dobije pogrešan odgovor, ne dobije odgovor uopšte, ili ne dobije odgovor u roku od sekunde? Razgovor "pukne", a vaš telefon postane "nedostupan".

"Trik" koji napadači koriste kako bi došli do tog kriptovanog koda se sastoji u sledećem: napadačev uređaj se predstavlja kao 2G bazna stanica, što automatski primenjuje 2G nivo enkripcije. Ovaj nivo je vrlo ranjiv i dobar računar može na vreme da je "razbije", dođe do zaštićenog koda i prosledi ga pravoj baznoj stanici. Ovaj postupak se ponavlja kad god prava bazna stanica uputi zahtev mobilnom telefonu. A ipak...

Možda nema čoveka u sredini

U ranije pomenutom tekstu "DETALJAN OPIS: Kako je hakovan Teleprompter i ko je izvršio hakovanje", pominje se da je originalni broj telefona koji je bio vezan za nalog zamenjen brojem +381 64 000 2232. To mi se učinilo odmah zanimljivim jer - koliko ljudi znate sa brojem telefona koji počinje sa tri nule? A opet, da li bi ga neko koristio u nekom hakovanju umesto da kupi neki prepaid? (ja sam od onih što se sentimentalno vežu za broj telefona).

Ako još malo razmislimo o formatu broja - on jeste zanimljiv. Da li je moguće da se broj koristi za rad sa baznim stanicama? Često ekipe mobilnih operatera na terenu imaju posebne uređaje koji im služe za dijagnostiku, testiranja, merenja. Ti uređaji neretko imaju zanimljive "brojeve telefona". Da li je moguće da je napadač nekako došao do jednog od tih brojeva/uređaja i iskoristio ih da direktno pristupi baznoj stanici? U tom slučaju ne bi bilo potrebe za  klasičnim "man in the middle" napadom. Pitanje o broju telefona sam postavio Telekomu ali za sada nema potvrde (ni negiranja) ovog scenarija. Kada odgovor bude stigao, uključiću ga u tekst. (odgovor se nalazi na kraju teksta)

Da li je u hakovanju koriscen sluzbeni broj Telekoma?

Možda nema čoveka uopšte

Ne baveći se pitanjem "Zašto?", dotaknuću malo pitanje "Ko?". Nije moguće ignorisati "slučajnosti" da su se napadi na sajtove uvek dešavali nakon objavljivanja kritičkog sadržaja na račun vladajućih struktura i garnitura. U skladu sa tim, uvek postoji polemika:

1) Da li su sajtovi zaista napadani? A ukoliko jesu princip Okamove oštrice u tom slučaju direktno optužuje vlast. Procureli podaci o programima koje koriste IT timovi stranaka dodatno podržavaju ovaj tabor. Međutim, dosadašnji napadi nisu bili mnogo sofisticiraniji od klasičnog DDoS napada (kad 5000 pokuša u istom trenutku da uđe u klub kroz jedna vrata, pa na kraju niko ne može ni da uđe ni da izađe) pa nije bilo ni neke ozbiljnije analize i potrage za napadačima.

2) Ili su vlasnici sajtova (radi marketinga) sami obarali svoje sajtove? Iako je ovo nelogičan korak, ne može se isključiti takav scenario. U taj scenario naravno spadaju i tehničke karakteristike sajtova/servera jer se dešavalo da sajtovi budu nedostupni zbog toga što njihovi serveri ne mogu da izdrže znatno veću posetu. Detalj koji u slučaju Teleprompter.rs podržava ovaj tabor jeste lokacija napadača, tj. Google nalog je identifikovao tip računara i lokaciju na osnovu IP adrese što je redovna stvar kada redovno pristupate svom GMail nalogu. Međutim, zašto bi se neko pomučio da koristi vrlo naprednu tehniku i tehnologiju za presretanje komunikacije, a onda "zaboravio" da koristi neki od proxy servera koji mu maskiraju fizičku i IP adresu (što sada koriste i obični korisnici kada žele da pristupe Spotify servisu)?

Lokacija hakera sajta Teleprompter

Nakon svega - nekoliko dodatnih pojašnjenja

Sajt Teleprompter.rs je dospeo u moj "vidokrug" nakon teksta o "Culture Exchange" klubu koji je po mom mišljenju sadržao i elemente poziva na linč - što je na kraju rezultiralo i višestrukim napadima na prostorije kluba. Gledano iz tog ugla ali i kvalitativnog, sajt Teleprompter.rs nije imao neki značajan doprinos za onaj misleći deo populacije. Međutim, duboko držim do toga da svako ima pravo na reč uz odgovornosti koje idu uz to pravo.

Kao osnova za ovaj tekst su poslužili podaci koje je izneo glavni i odgovorni urednik sajta Teleprompter.rs. Nisam imao pristupa nalozima, logovima, serverima pa je moja analiza zasnovana samo na javno dostupnim podacima, znanju i iskustvu koje sam do sada stekao kroz obrazovanje i praksu. (educated guess)

Ukoliko je sve ili bar veći deo podataka iz teksta glavnog i odgovornog urednika sajta Teleprompter.rs istinit, hakovanje tog sajta je vrlo ozbiljna stvar koju bi pored organa za borbu protiv visokotehnološkog kriminala morali da ispitaju i mobilni operateri (jer se neko petlja sa njihovim baznim stanicama i uređajima njihovih korisnika). Radi objektivnosti, želim i da dodam da ceo ovaj tekst "pada u vodu" ukoliko je ključni korak u napadu obavljen preko naloga koji nije bio zaštićen 2-factor autentifikacijom. U tom slučaju bi napad svejedno bio vrlo ozbiljan i složen ali daleko jednostavniji od gore opisane manipulacije 2-factor zaštite.

UPDATE: Na upućeno pitanje Telekomu preko Twittera, stigao je odgovor da Telekom Srbija ne raspolaže traženim informacijama. Na pitanje da li zahtev mogu proslediti nekome ko tim informacijama raspolaže - nije bilo odgovora. Na pitanje da li je infrastruktura kompanije Telekom Srbija zloupotrebljena u nezakonitom presretanju komunikacija i ukazivanje na ozbiljnost tih implikacija dobili smo savet da se obratimo najbližoj poslovnici sa žalbom. Screenshot komunikacije je dat ispod ovog teksta. 

Odgovor Telekoma na pitanje da li je njihova infrastruktura korišćena u nezakonitom presretanju komunikacije

**slike preuzete sa portala Teleprompter.rs i Owasp.org

Mišljenja (12) 19.04.2015. 18:44

Share on FacebookTweetPost on Google PlusShare with LinkedIn contactsSend via Email

SLAVKO ILIĆ

Autor ovog bloga je zaljubljenik u informacione tehnologije i njihovu primenu u svakodnevnom životu. Zastupnik pozitivne strane priče. Samostalni aktivista u poslu sa zmajevima. Ne lovi ih, komunicira sa njima. Ne boji se vetrenjača jer zna kako rade. Jednom rečju - Techtivist. Za sve ostale informacije i pitanja, tu su kontakt podaci.

Facebook: /ITkutak
Twitter: @ITkutak
Mail: ITkutak.com@gmail.com